OpenSSL többszörös DoS sebezhetőség

CH azonosító

CH-136

Felfedezés dátuma

2006.09.30.

Súlyosság

Magas

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL Software Foundation OpenSSL 0.9.x

Összefoglaló

Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.

Leírás

Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.

  1. Bizonyos ASN.1 struktúrák feldolgozásában rejlő hibát kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban egy végtelen ciklust lehet előidézni és így folyamatosan növelni a rendszermemória felhasználását.

    Figyelem, ez a hiba nem érinti a 0.9.7-nél korábbi verziókat.
  2. Bizonyos típusú nyilvános kulcsok feldolgozása túl sok időt vesz igénybe, ezt kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban szolgáltatás megtagadást (DoS) lehet előidézni.
  3. Egy hibát kihasználva az “SSL_get_shared_ciphers()” funkcióban puffer túlcsordulást idézhető elő, ha az adott funkciót használó programnak egy sor titkosított információt küldenek.

    Sikeres kiaknázás tetszőleges kód futtatását teszi lehetővé.
  4. Egy hibát kihasználva az SSLv2 kliens kódjában egy rosszindulatú szerver összeomlaszthatja az SSLv2 kapcsolatot a szerverhez kiépítő OpenSSL-es klienst.

Megoldás

Frissítsen a legújabb verzióra